Guide sur la Sécurité des données
Voici le premier article d’une série que nous publierons sur le mois de Décembre en lien avec la Sécurité au sens large.
Les conseils de cet article en un clin d’œil :
- Effectuez fréquemment une sauvegarde de vos données vers un disque dur externe, un serveur ou un service en ligne – il est essentiel d’avoir plusieurs copies de sauvegarde en cas de défaillance de l’une d’elles
- Téléchargez ou achetez des logiciels de sauvegarde automatique pour assurer la sauvegarde de vos systèmes en temps opportun
- Conservez des copies de sauvegarde physiques (p. ex. disque dur externe) dans un endroit sécuritaire à l’extérieur des installations de l’entreprise
- Ayez des DVD ou des clés USB de démarrage d’urgence, qui seront prêts à être utilisés en cas de panne du système
- Étiquetez adéquatement tous les renseignements de nature délicate pour en assurer un traitement adéquat
- Lorsque vous éliminez des données, assurez-vous de tout détruire – déchiquetez tous les documents papier et les CD – afin qu’aucun renseignement ne puisse être recueilli et utilisé contre vous
OPTIONS DE SAUVEGARDE ET DE RESTAURATION
Il est essentiel que votre entreprise se dote d’un plan de sauvegarde. Sans quoi, elle risque de perdre des renseignements (comme les dossiers des clients) et des services primordiaux (comme le traitement des paiements). De telles pertes peuvent nuire à vos activités et à votre réputation, donner lieu à des poursuites et même causer la fermeture de votre entreprise.
Les sauvegardes servent à la restauration de fichiers perdus ou endommagés. La sauvegarde de vos données permettra à votre entreprise d’être en mesure de se relever rapidement et complètement en cas de panne de système, d’altérations de données ou d’autres contretemps.
Il existe plusieurs options de sauvegarde et de restauration :
1 – Disque dur USB portatif ou de bureau : voilà un bon départ si votre entreprise ne compte que quelques ordinateurs. Vous pouvez utiliser un disque dur pour chaque ordinateur ou un disque dur pour jusqu’à trois systèmes. Un logiciel de sauvegarde vous permettra d’automatiser ce processus et de suivre l’évolution de vos données entre les sauvegardes. Le même logiciel vous permettra de tout restaurer, qu’il s’agisse d’un seul fichier ou de tout le système
2 – Serveur : si votre entreprise dispose d’un réseau local (RL), les données devraient être stockées sur votre serveur et sauvegardées de cet endroit. Les sauvegardes des serveurs sont complètement automatisées et s’exécutent aussi souvent que nécessaire
3 – En ligne : une autre option consiste à sauvegarder vos données sur Internet. Les fournisseurs de services de sauvegarde et de restauration garderont des copies de vos données professionnelles.
La sauvegarde en ligne ne conviendrait peut-être pas :
- À vos données de grande valeur ou de nature très délicate
- Au stockage de données personnelles pour des clients
- À la restauration rapide de vos données, car en général, les sauvegardes locales sont plus rapides
- À la restauration de données sur demande garantie, car l’accès à l’Internet peut tomber en panne
- À la sauvegarde très fréquente ou en continu, qui peut surcharger votre connexion Internet et obstruer d’autres travaux
Pratiques exemplaires de sauvegarde et de restauration de l’information :
- Dressez un plan et commencez vos sauvegardes dès que possible. Commencez par sauvegarder tous les fichiers et tous les dossiers pouvant avoir de la valeur. Cette opération est souvent appelée sauvegarde « complète » et sert de base pour les prochaines sauvegardes. Par la suite, vous n’aurez à sauvegarder que les nouveaux fichiers et les nouveaux dossiers ou ceux qui ont été modifiés
- Sauvegardez vos données régulièrement, chaque jour, chaque heure ou à la fréquence qui convient à votre entreprise
- Choisissez une application de sauvegarde ayant un système de sauvegarde automatique et continu de sorte que vos sauvegardes soient complètes
- Conservez des copies de vos sauvegardes dans un endroit sécuritaire à l’extérieur de l’entreprise. Il s’agit de protéger les sauvegardes du vol ou d’une catastrophe (comme un feu). Si un lieu extérieur à l’entreprise, par exemple, un coffre bancaire n’est pas pratique, songez à vous procurer un petit coffre-fort à l’épreuve du feu. Veillez à ce que les sauvegardes hors site soient maintenues à jour
- Incluez toujours les paramètres des systèmes et des logiciels, en tant qu’éléments de vos sauvegardes
- Ayez des DVD ou des clés USB de démarrage d’urgence, qui seront prêts à être utilisés en cas de panne du système; conservez-en une copie à l’extérieur de l’entreprise avec les autres sauvegardes importantes
- Testez vos sauvegardes périodiquement en restaurant un gros fichier, un gros dossier ou le disque au complet. Lorsque vous avez le temps, au moins une fois par année, effectuez une restauration complète sur un ordinateur « test » (p. ex. un ordinateur qui n’est pas utilisé par votre entreprise) pour vous assurer que votre entreprise peut utiliser les sauvegardes dont elle dispose pour faire une restauration complète du système en cas de catastrophe
Points à prendre en considération lorsque vous élaborez votre plan de sauvegarde :
- Que devez-vous sauvegarder? Dressez une liste de vos dossiers essentiels et de l’endroit où ils sont conservés et vous saurez ce que vous devez sauvegarder
- À quel intervalle devez-vous effectuer les sauvegardes? Certaines données ne changent pas souvent, alors que certains dossiers changent tout le temps. Si l’information est importante, sauvegardez-la aussi souvent qu’il le faut : une fois par jour, toutes les heures ou même plus souvent
- Combien de temps devez-vous conserver les sauvegardes? Il se peut que vous n’ayez à conserver que les sauvegardes les plus récentes ou que vous ayez des obligations légales ou contractuelles qui vous obligent à garder certaines données pendant une période précise, possiblement des années. Consultez votre avocat, votre comptable ou une autre partie responsable pour obtenir une confirmation des exigences.
SECURITE DU CLOUD
Le Cloud consiste à utiliser des ressources et des programmes disponibles sur le Web, à l’extérieur de votre entreprise. Vous connaissez peut-être des services en mode cloud comme le stockage de données, mais d’autres services sont également offerts, comme la gestion de la facturation et des paiements, la gestion de documents et de comptes, et les outils de marketing et de productivité.
Les petites et les moyennes entreprises peuvent envisager l’utilisation du Cloud pour de nombreuses raisons. Ces services offrent des logiciels puissants, semblables à ceux utilisés dans de très grandes entreprises, à des prix concurrentiels. De plus, certains services peuvent être personnalisés afin de répondre aux besoins de votre entreprise, et peuvent être accessibles de façon flexible depuis pratiquement n’importe quel appareil branché à Internet. Enfin, un bon fournisseur de services en mode cloud offrira le soutien approprié pour améliorer la sécurité et la stabilité de ses produits.
Les services cloud peuvent être attirants, mais comme vous mettez vos données entre les mains de personnes à l’extérieur de votre entreprise, vous devez avoir confiance en la façon dont vos renseignements seront traités. Votre entreprise doit tenir compte de plusieurs questions de sécurité avant de décider d’utiliser un service cloud.
1- Lisez des études et obtenez des recommandations de fournisseurs potentiels de services cloud. Faites des recherches sur les ressources en matière de sécurité dont disposent d’éventuels fournisseurs de services cloud, comme :
- Une protection contre les programmes malveillants
- Des correctifs et l’entretien de logiciels
- Un chiffrement fort pendant le déplacement des données et pendant que l’information est stockée. Une alimentation redondante en cas de panne d’électricité
2- En plus de vous informer sur leurs ressources en matière de sécurité, informez-vous sur leur fiabilité, leur niveau de service et leurs résultats antérieurs. Par exemple, demandez-leur comment ils sauvegardent leurs données, et ce qui arrive quand le service tombe en panne.
3- Gérez l’accès à vos services cloud. Décidez qui dans votre entreprise peut accéder au service, et quelles autorisations ces personnes auront. Décidez si les employés peuvent consulter des données de l’entreprise sur leurs appareils personnels, et établissez une procédure à suivre si un appareil est perdu ou volé. Si un employé quitte l’entreprise, assurez-vous de lui retirer ses privilèges d’accès à vos services.
4- Faites preuve de diligence raisonnable. Consultez votre avocat pour comprendre quelles seraient vos obligations si les renseignements d’un client étaient perdus ou volés dans le nuage, et analysez les ententes de service avec les fournisseurs cloud afin de comprendre qui détient les produits et qui est responsable des données.
5- Soyez conscients des exigences prévues par les lois fédérales ou provinciales à l’égard du stockage de divers genres de renseignements. Des renseignements téléchargés de France peuvent être stockés dans un serveur qui se trouve dans un autre pays. Selon votre domaine d’activités, les règlements gouvernementaux pourraient préciser la façon dont les renseignements doivent être traités, notamment l’endroit où ils sont stockés, la durée de la période de stockage ou le niveau de sécurité requis. Cela est particulièrement vrai pour des dossiers médicaux ou financiers que votre entreprise pourrait tenir.
Utilisation d’un service d’échange de fichier dans le Cloud sécurisé
Parmi les aspects de l’informatique en mode cloud que vous pourriez trouver utiles pour votre entreprise, mentionnons les services d’échange de fichier et de synchronisation. Ils vous permettent de verser des fichiers dans un nuage afin que des clients, des consultants ou des membres du personnel puissent les voir, les télécharger et les modifier. Quand des utilisateurs effectuent des changements, les fichiers sont synchronisés afin que chacun ait accès à la version la plus récente.
Vous pouvez limiter les risques à la sécurité en :
- Examinant quel genre de renseignements peuvent être échangés de façon sécuritaire selon cette méthode
- Choisissant un service qui exige que les utilisateurs se connectent, idéalement avec une authentification multi-facteurs, afin que seules les personnes que vous autorisez aient accès aux fichiers partagés
- Limitant le nombre de personnes ayant accès à celles qui en ont besoin
- Utilisant un service qui peut vous transmettre un avis lorsqu’un fichier est reçu ou modifié
- Chiffrant les renseignements de nature délicate avant de verser le fichier dans le cloud ou de laisser quelqu’un le consulter.
CLASSIFICATION ET ÉTIQUETAGE DES RENSEIGNEMENTS DE NATURE DÉLICATE
La classification et l’étiquetage des renseignements de nature délicate sont essentiels à leur traitement sécuritaire dans votre entreprise. De nombreux systèmes de classification peuvent être employés pour déterminer à quel point un renseignement est délicat et ensuite, l’étiqueter (p. ex. documents, fichiers, dossiers, etc.).
Le secret de la réussite est de mettre sur pied un système que tous les employés comprennent et utilisent. Votre entreprise devra mettre au point une méthode de classification des renseignements (pour commencer, voyez les conseils de l’encadré) et énoncer des lignes directrices pour l’étiquetage et le traitement des renseignements (voir la prochaine section).
Comment déterminer quels renseignements sont de nature délicate :
1 – Faites l’inventaire de vos renseignements et de l’endroit où ils sont (p. ex. sur un serveur, dans le cloud, etc.).
2 – Demandez-vous quel dommage résulterait de la perte ou du vol de chaque groupe de renseignement que détient votre entreprise. Classez la perte selon une échelle de 1 à 5, 1 étant « insignifiant » et 5 « catastrophique ». Triez les résultats.
3 – Les renseignements ayant obtenu le classement le plus élevé sont plus « délicats » et devraient être étiquetés et traités avec le soin nécessaire à leur sécurité (p. ex. contrôle de l’accès, sauvegarde, etc.).
Un modèle de classification simple est facile à retenir et à suivre, par exemple :
1 – Publics — les renseignements sont accessibles à tous dans votre entreprise aussi bien qu’à l’extérieur et n’exigent pas de protection, de marquage ou de traitement particuliers. Les nouvelles que vous affichez dans votre site Web sont un exemple de renseignements publics
2 – Restreints — les renseignements doivent être protégés d’une certaine façon et sont généralement limités à un groupe choisi de personnes, dont certains employés et clients, fournisseurs de service et autres. Ces renseignements devraient être contrôlés par diverses mesures de protection que vous avez mises en place et devraient être étiquetés « restreints ». Les renseignements sur la paie sont un exemple de renseignements restreints
3 – Confidentiels — l’accès à ces renseignements est limité à des personnes désignées de votre entreprise. La perte ou le vol de ces renseignements pourrait nuire à votre entreprise. Les renseignements confidentiels doivent être étiquetés et traités avec précaution et ne devraient pas sortir des systèmes ou des installations de l’entreprise. La propriété intellectuelle de l’entreprise ou les données de nature délicates sur les clients sont des exemples de renseignements confidentiels
Vous devriez consigner par écrit les règles applicables à l’étiquetage, au traitement ou à la transmission des renseignements et les expliquer à vos employés et à vos affiliés (p. ex. pour les transactions bancaires), notamment :
- Toujours vérifier la classification des renseignements pour déterminer comment ils doivent être traités
- Lorsque des renseignements classifiés sont utilisés ou transmis, toujours en limiter l’accès aux personnes autorisées
TRAITEMENT DES RENSEIGNEMENTS DE NATURE DÉLICATE
Certains de vos renseignements professionnels seront de nature particulièrement délicate, ce qui signifie que l’accès non autorisé à ces renseignements, leur perte, un mauvais usage ou leur modification pourrait causer de graves dommages à votre entreprise ou à vos clients (p. ex. les dossiers financiers ou des clients).
Conseils sur le traitement des renseignements de nature délicate :
- Verrouillez et restreignez l’accès aux renseignements de nature délicate lorsqu’ils ne sont pas utilisés. Les documents numériques devraient être dotés d’une combinaison de mesures de protection électroniques et physiques afin de limiter l’accès aux employés (ou aux clients) autorisés. Vous pouvez conserver les documents papier dans des classeurs verrouillés ou un coffre-fort
- Étiquetez toujours les renseignements de nature délicate et formez les employés afin qu’ils suivent les directives sur le traitement des renseignements étiquetés. Si les renseignements ne sont pas étiquetés, les employés devraient demander de l’aide ou des précisions afin de s’assurer qu’ils les traitent correctement. Les renseignements numériques peuvent être groupés selon leur nature délicate dans un serveur commun, dans une base de données particulière ou être étiquetés individuellement
- Si vous devez détruire des renseignements de nature délicate, les méthodes de destruction électronique doivent, elles aussi, être rigoureuses. Habituellement, si vous « supprimez » un fichier de votre ordinateur, ce dernier n’est pas vraiment enlevé tant que l’espace qu’il occupait n’est pas écrasé par autre chose. L’effacement sécuritaire » commercial ou les outils de suppression peuvent détruire complètement vos renseignements de nature délicate, comme si vous aviez passé un document papier dans une déchiqueteuse
- Lorsque vous vous débarrassez d’un média de stockage, il vaut mieux le détruire physiquement. Par exemple, les CD et les DVD peuvent être passés dans une déchiqueteuse à papier
- Lorsque vous détruisez des dossiers papier, vous devriez utiliser une déchiqueteuse de haute qualité qui effectue une coupe croisée sur le papier et le réduit en petites pièces; vous pouvez également faire appel à une entreprise de destruction de documents et de médias professionnelle.